Объединение политик безопасности на контроллерах домена

Политики паролей, Kerberos и некоторые параметры безопасности объединяются только из GOS, связанных на корневом уровне домена. Это делается для того, чтобы эти параметры синхронизировались на всех контроллерах домена в домене. Объединяются следующие параметры безопасности:

· Сетовая безопасность: принудать вход в систему после истечения времени входа

· Учетные записи: состояние учетной записи «Администратор»

· Учетные записи: состояние учетной записи «Гость»

· Учетные записи: переименование учетной записи администратора

· Учетные записи: переименование учетной записи гостя

Существует еще один механизм, позволяющий объединить изменения политики безопасности, внесенные администраторами с помощью учетных записей net, в GPO политики домена по умолчанию. Изменения прав пользователей, вносимые с помощью API LSA, фильтруются в GPO политики контроллеров домена по умолчанию.

Особые соображения для контроллеров домена

Если приложение установлено на основном контроллере домена (PDC) с ролью хозяина операций (также известной как гибкие операции единого хозяина или FSMO) и приложение вносит изменения в права пользователя или политику паролей, эти изменения необходимо сообщить, чтобы обеспечить синхронизацию между контроллерами домена. Scesrv.dll получает уведомление о любых изменениях диспетчера учетных записей безопасности (SAM) и LSA, которые необходимо синхронизировать между контроллерами домена, а затем включает изменения в GPO политики контроллера домена по умолчанию с помощью API изменения шаблона scecli.dll.

Когда применяются параметры безопасности

После изменения политик параметров безопасности параметры обновляются на компьютерах в подразделении, связанных с объектом групповой политики, в следующих экземплярах:

· При перезапуске устройства.

· Каждые 90 минут на рабочей станции или сервере и каждые 5 минут на контроллере домена. Этот интервал обновления настраивается.

· По умолчанию параметры групповой политики безопасности также применяются каждые 16 часов (960 минут), даже если GPO не изменился.

Сохраняемость политики параметров безопасности

Параметры безопасности могут сохраняться даже в том случае, если параметр больше не определен в политике, которая его применяла изначально.

Параметры безопасности могут сохраняться в следующих случаях:

· Этот параметр ранее не был определен для устройства.

· Этот параметр настраивается для объекта безопасности реестра.

· Параметры для объекта безопасности файловой системы.

Все параметры, применяемые с помощью локальной политики или объекта групповой политики, хранятся в локальной базе данных на компьютере. При внесении изменений в параметры безопасности компьютер сохраняет значение параметра безопасности в локальной базе данных, в которой сохраняется история всех параметров, примененных к компьютеру. Если политика сначала определяет параметр безопасности, а затем больше не определяет этот параметр, этот параметр принимает предыдущее значение в базе данных. Если предыдущее значение не существует в базе данных, параметр не вернется ни к чему и остается определенным как есть. Такое поведение иногда называют "нахмывом".

Параметры безопасности реестра и файлов будут сохранять значения, применяемые с помощью групповой политики, пока для этого параметра не будут установлены другие значения.

Разрешения, необходимые для применения политики

Разрешения "Применить групповую политику" и "Чтение" необходимы, чтобы параметры объекта групповой политики применялись к пользователям, группам и компьютерам.